Datenschutzverstöße sind keine Kavaliersdelikte. Datenschutz-Compliance ist kein „nice to have“, sondern spätestens seit Geltung der DSGVO von allen Unternehmen und Unternehmern umzusetzendes Recht. Bei Datenschutzverstößen drohen erhebliche, teils existentielle Bußgelder. Informieren Sie sich in diesem DSGVO FAQ zu den datenschutzrechtlichen Anforderungen, die aufgrund der Vorschriften der DSGVO von allen Unternehmen und Unternehmern einzuhalten sind.
Die DSGVO (Europäische Datenschutzgrundverordnung) ist eine europäische Verordnung, die das Ziel hat, die rechtlichen Rahmenbedingungen im Bereich Datenschutz europaweit zu harmonisieren und in allen EU-Staaten ein einheitliches und zugleich hohes Datenschutzniveau sicherzustellen. Die DSGVO gilt unmittelbar in allen EU-Staaten wie innerstaatliches Recht. Die europäische Datenschutz-Grundverordnung ist in allen EU-Ländern direkt anwendbar und hat dabei Vorrang vor nationalen Gesetzen.
Die EU-Datenschutz-Grundverordnung (DSGVO) ist als Rechtsvorschrift seit dem 24.5.2016 in Kraft und gilt verbindlich seit dem 25.5.2018. Seit diesem Stichtag müssen die Regelungen der DSGVO im Unternehmen umgesetzt und angewendet werden.
Daneben ist mit gleichem Datum in Deutschland ein neues Bundesdatenschutzgesetz (BDSG-neu) in Kraft getreten. Dieses ergänzt die Datenschutzgrundverordnung an einigen Stellen, an denen die europäische Verordnung Öffnungsklauseln für den nationalen Gesetzgeber enthält. Beispielsweise regelt das neue Bundesdatenschutzgesetz die Pflicht zur Bestellung eines Datenschutzbeauftragten.
Die Datenschutz-Grundverordnung (DSGVO) betrifft alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, also praktisch jedes Unternehmen einschließlich Selbstständiger, Startups und Einzelunternehmer. Sie betrifft alle Unternehmen und Unternehmer unabhängig von der Betriebsgröße, unabhängig von der Anzahl der Mitarbeiter und unabhängig vom Umsatz des Unternehmens. Sie gilt sowohl für Unternehmen mit Niederlassung in der EU, aber auch Unternehmen mit Sitz außerhalb der EU.
Bei Datenschutzverletzungen drohen erhebliche Bußgelder und andere Sanktionen. Im Vergleich zu den Bußgeldvorschriften des früheren Bundesdatenschutzgesetzes (vor dem 25.5.2018) sind die Bußgeldvorschriften der DSGVO ab dem 25.5.2018 erheblich verschärft worden. Es können je nach Art, Umfang und Schwere des Verstoßes Bußgelder bis zur Höhe von 20 Millionen € oder alternativ bis zu 4 % des Konzernumsatzes verhängt werden.
Daneben können die zuständigen Datenschutzbehörden auch weitere Sanktionen und Maßnahmen, wie beispielsweise eine Betriebsstilllegung veranlassen, Geschäftsräume betreten, anordnen, dass Daten zu löschen sind oder die Datenverarbeitung untersagen.
⇒ Es ist daher jedem Unternehmen und Unternehmer (einschließlich Freiberufler, Selbstständige und Kleinunternehmer) dringend anzuraten, die datenschutzrechtlichen Pflichten umzusetzen bzw. einzuhalten. Rufen Sie an und lassen Sie sich von unseren Anwälten beraten!
Verstöße gegen die DSGVO können ferner gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) verstoßen. Folglich drohen wettbewerbsrechtliche Ansprüche der Konkurrenz. Datenschutzrechtliche Verstöße können nach den Vorgaben der DSGVO von Mitbewerbern abgemahnt werden. Sie können also von Konkurrenten auf Beseitigung, Unterlassung und Erstattung der gegnerischen Anwaltsgebühren in Anspruch genommen werden.
⇒ Auch deshalb ist jedem Unternehmen undbzw. Unternehmer dringend anzuraten, die datenschutzrechtlichen Pflichten aus der DSGVO und aus dem BDSG einzuhalten.
Die DSGVO nennt in Art. 5 DSGVO die sog. Datenschutzgrundsätze. Hierzu gehören beispielsweise:
Da datenverarbeitende Prozesse, die personenbezogene Daten zum Gegenstand haben, generell unzulässig sind, bedarf es immer einer gesetzlichen Erlaubnis oder einer Einwilligung, um eine Verarbeitung personenbezogener Daten durchführen zu dürfen (sog. Verbot mit Erlaubnisvorbehalt).
Die DSGVO kennt unterschiedliche Erlaubnistatbestände wie beispielsweise:
Wenn einer dieser Erlaubnistatbestände erfüllt ist bzw. eine wirksame Einwilligung vorliegt, kann die Datenverarbeitung zulässig sein. Einwilligungen müssen allerdings immer dokumentiert und nachgewiesen werden können. Problematisch an Einwilligungen ist ferner, dass diese jederzeit ohne Grund für die Zukunft widerrufen werden können.
Jedes Unternehmen beziehungsweise jeder Unternehmer, der unter die Datenschutz-Grundverordnung fällt, ist unabhängig von der Größe des Unternehmens und unabhängig von der Mitarbeiterzahl im Hinblick auf die Erhebung, Speicherung und Verarbeitung personenbezogener Daten im Unternehmen verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Die DSGVO gilt diesbezüglich seit dem 25.5.2018 und zwar nicht erst ab einer Mitarbeiterzahl von 250 Mitarbeitern.
In dem Verzeichnis der Verarbeitungsvorgänge muss unter Anderem angegeben werden, welchen Zweck die Datenverarbeitung hat, auf welcher Rechtsgrundlage der Verarbeitungsprozess stattfindet und welche technischen und organisatorischen Maßnahmen ergriffen wurden, um die Datensicherheit bzw. ein angemessenes Datenschutzniveau zu gewährleisten. Zudem müssen dort Angaben dazu gemacht werden, wann die Daten gelöscht werden beziehungsweise gelöscht werden müssen (sog. Löschfristen).
Den Unternehmer trifft nach der DSGVO hinsichtlich des Vorhandenseins und der Vollständigkeit der Verfahrensverzeichnisse eine Dokumentations- und Nachweispflicht.
Das Verfahrensverzeichnis sollte, wenn noch nicht geschehen, unverzüglich und vollständig erstellt werden, um dieses im Falle einer Anfrage der zuständigen Datenschutzbehörde vorlegen zu können (Nachweispflicht).
Neben der Einhaltung der der datenschutzrechtlichen Anforderungen durch Implementierung von Prozessen zur Sicherstellung der DSGVO-Compliance müssen Unternehmen den Betroffenen, wenn personenbezogene Daten erhoben werden, „zum Zeitpunkt der Erhebung“ ungefragt und „leicht verständlich“ über den Zweck sowie über die Rechtsgrundlage informieren und ihn auf seine Betroffenenrechte (z. B. das Widerspruchsrecht) hinweisen.
Dies führt dazu, dass Unternehmen Betroffene z. B. schon bei der Vertragsanbahnung, wenn dort Daten erhoben werden, rechtzeitig mittels einer geeigneten DSGVO-kompatiblen Datenschutzerklärung informieren müssen und auch ihre Datenschutz-Erklärungen auf Internetseiten und Onlineshops entsprechend neugestalten bzw. anpassen müssen.
Nach der DSGVO stehen Betroffenen gegenüber der verarbeitenden Stelle weitgehende Rechte zu, die teilweise innerhalb bestimmter Fristen erfüllt werden müssen. Hierzu gehören beispielsweise:
Da die Rechte, wenn sie von den Betroffenen ausgeübt werden, unverzüglich bzw. innerhalb bestimmter Fristen erfüllt werden müssen, bedarf es im Unternehmen entsprechender Prozesse, um einzelnen Aufforderungen zeitnah nachkommen zu können.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten ist in der DSGVO nicht generell geregelt und gilt daher nicht in allen EU-Mitgliedstaaten gleichermaßen. In Deutschland regelt § 38 Abs. I BDSG-neu eine Pflicht zur Benennung eines Datenschutzbeauftragten, wenn bestimmte Voraussetzungen vorliegen.
Danach sind insbesondere Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn dort ständig mindestens zwanzig Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder, wenn in einem Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
In der Regel handelt es sich bei Verträgen mit Cloud-Anbietern um eine sog. Auftragsdatenverarbeitung, die immer dann vorliegt, wenn ein Dienstleister im Auftrag eines Unternehmens (so genannte verantwortliche Stelle) weisungsgebunden Daten verarbeitet. Dies kann beispielsweise bei einem externen Hosting von Daten (Emailprovider, Cloud-Anbieter, Backup etc.) oder bei einem externen E-Mail-Newsletter-Versand über einen Dienstleister der Fall sein. Es trifft immer dann zu, wenn ein Unternehmen Daten an einen Dritten weitergibt und der Dritte für den Auftraggeber eine Datenverarbeitung durchführt, also z. B. auch bei der Verwendung von Software-Dokumentenmanagementsystemen, wenn die Datenbank beim Softwareanbieter gehostet wird sowie bei der Verwendung von Google Analytics.
Bestehende Auftragsdatenverarbeitungsverträge müssen in der Regel an die DSGVO angepasst werden. Dabei ist auch zu berücksichtigen, dass künftig auch der Auftragnehmer (Auftragsverarbeiter) eigenen gesetzlichen Pflichten nach der Datenschutz-Grundverordnung (DSGVO) unterliegt (z. B. Dokumentationspflicht, Meldepflicht bei Datenpannen etc.) und entsprechend haftet.
Das Problem mit einer Datenverarbeitung durch US Unternehmen (zum Beispiel sog. Cloud-Anwendungen, bei denen die Server in den USA stehen) liegt darin, dass der Datenschutzstandard in den USA erheblich niedriger ist als in der EU (auf Grundlage der DSGVO) und, dass deshalb die datenschutzrechtlichen Verpflichtungen, die in der EU bestehen bei einer Übermittlung der Daten in ein Land außerhalb der EU bzw. des EWR nicht immer gewährleistet sind. In den USA kommt hinzu, dass staatliche Behörden aufgrund der dortigen Anti-Terror-Gesetzes umfassende Zugriffsmöglichkeiten auf personenbezogene Daten haben.
Daher muss in diesen Fällen mit dem Auftragsverarbeiter eine vertragliche Vereinbarung getroffen werden, wonach die Daten innerhalb der EU gehostet werden oder aber der US-Anbieter muss nach dem sogenannten Privacy Shield zertifiziert sein und die Verträge müssen entsprechend angepasst sein. Hier sollte unbedingt die aktuelle Gesetzesentwicklung auf europäischer Ebene beobachtet werden, da verschiedene Verordnungen geplant sind, die dies detailliert regeln sollen.
Wir freuen uns über Ihre Anfrage und melden uns schnellstmöglich bei Ihnen!
Es wird ausdrücklich darauf hingewiesen, dass es sich bei den Fragen und Antworten (DSGVO FAQ) um allgemeine Aussagen handelt. In unserem FAQ können nicht alle Rechtsfragen erschöpfend beantwortet werden. Die Antworten sind nicht auf jeden Fall übertragbar. Es wird daher immer eine individuelle anwaltliche Beratung empfohlen. Das DSGVO FAQ kann eine fachkundige Rechtsberatung im Einzelfall keinesfalls ersetzen.
Informationen zu unserer Datenschutzberatung
Informationen zum Thema Datenschutzschulung
Informationen zu unseren Leistungen im Bereich Datenschutzrecht